维护网络安全必须有过硬技术(前沿观察)
——对信息化新阶段网络安全的研究报告
中国工程院院士 邬贺铨
信息化新阶段导致网络安全内涵不断扩展
当今世界,信息科技革命日新月异,互联网已经融入经济社会发展的方方面面,信息化进入了一个“大智移云”的新阶段。2014年是我国接入国际互联网20周年。据统计,到2013年底,我国互联网上网人数6.18亿人,普及率已达45.8%,手机网民5亿人。2013年8月我国发布“宽带中国”战略及实施方案,要求到2015年固定宽带家庭普及率和3G/LTE(第三代移动通信及其长期演进技术)用户普及率分别达到50%和32.5%,2020年分别达到70%和85%;2015年城市和农村家庭宽带接入能力分别达到20Mbps(兆比特每秒)和4Mbps,2020年分别达到50Mbps和12Mbps。毫无疑问,拥有6亿多网民的中国已经是网络大国,同时也是信息窃取、网络攻击的主要受害者,面临着巨大的网路安全压力。
信息化新阶段使网络安全问题越来越突出,也使网络安全内涵不断扩展。过去,人们通常把网络基础设施的安全称为网络安全,把数据与内容的安全称为信息安全。但从2011年以来,美国、英国、法国、德国、俄罗斯、澳大利亚、加拿大、韩国、新西兰等国家纷纷制定国家Cyberspace战略或Cyber Security战略(Cyberspace目前尚无普遍认可的中文翻译,有人称为网络空间,但更多的人称为赛博空间),以争取和保持在信息化新阶段国家安全的战略优势地位。Cyberspace(赛博空间)包含网络基础设施、数据与内容以及控制域,即覆盖传输层、认知层和决策层,其范围还将从目前的互联网拓展到各类网络、各类数据链和所能链接及管控的各类设备。Cyber Security(赛博安全)的含义不仅是传统的网络基础设施安全,还包括信息层面即数据或内容的安全以及执行决策层面的安全,即与信息化有关的非传统安全的综合。
信息化新阶段网络安全面临的主要挑战
移动互联网面临严重安全问题。根据思科公司统计,2013年全球移动数据流量增长了81%,预计到2018年还将较2013年增长11倍,其中半数流量卸载到Wifi(无线保真)。2013年底我国4G牌照的发放加快了移动互联网的发展。按照工信部统计,截至2014年1月,我国移动互联网用户数占移动电话用户的67.8%,移动互联网接入流量同比增长46.9%,户均移动互联网接入流量达到165.1MB,其中手机上网流量占比提升至80.8%。大量移动互联网用户的增加导致了移动终端设备越来越多样,这也意味着管理起来将更加困难。移动终端受功耗等限制,无法像个人计算机那样内置功能强大的防火墙。安卓移动操作系统尽管已经使用了针对应用软件的签名系统,但黑客仍然能使用匿名的数字证书来签署他们的病毒并发放。安卓4.0版本中内置的无线通信接入的密码远程备份功能可被用来定位用户,苹果公司的手机云计划能够读取用户在手机云中所存的信息。基于智能终端的移动支付方便了用户,但传统的账号+密码+短信的身份验证方式存在安全风险,手机卡可能被复制,验证短信有可能被劫持,支付指令在传输中也可能被篡改。可见,移动互联网的安全问题是当前网络安全面临的一个重要挑战。
大数据、云计算也是网络安全防御的新重点。伴随移动互联网等的发展,大数据近年受到越来越多关注。据BBC公司统计,2013年全球互联网流量每天为2.7EB,全球新产生的数据年增40%,每两年就可以翻番。大数据的挖掘可应用到经济、政治、国防、文化等各领域。大数据是信息化新阶段的特征,也是网络安全防御的新重点。我国对大数据的存储、保护和利用重视不够,导致信息丢失或不完整,同时存在信息被损坏、篡改、泄露等问题,给国家的信息安全和公众的隐私保护带来了隐患。此外,宽带化以及信息化应用的深入推动了云计算发展。个人的云存储、企业的云制造以及云政务等在近年迅速发展。据统计,到2015年全球数据中心的一半都会基于云计算技术。与全球云计算行业的复合年增长率23.5%相比,我国云计算市场增长更快,年增长率超过40%。云计算能力的分布化、虚拟化、服务化是云计算的技术基础,但云计算平台如果被攻击,出现故障,就会导致大规模的服务器瘫痪。
物联网的安全问题不容忽视。物联网节点数很多,不易于管理,节点的数据可能被篡改或者假冒。这是物联网安全的重大隐患。比如,现在物联网已经应用到了医疗设备上,如果像心脏起搏器这样的设备被黑客攻击,将直接影响到人的生命安全。黑客还能够通过智能电视、冰箱以及无线扬声器等发起攻击。在全球首例物联网攻击事件中,10余万台互联网“智能”家电在黑客的操控下构成了一个恶意网络,并在两周时间内向那些毫无防备的受害者发送了约75万封网络钓鱼邮件。
此外,工业控制系统的安全也需要加强。如黑客入侵美国的智能电表系统并修改了电表数据,给我们敲响了警钟。还有一些国家刻意准备网络战,目的是破坏对方的信息系统,进而摧毁能源、交通等基础设施。著名的案例是2010年伊朗的核设施被“震网”病毒攻击而瘫痪。这些都值得我们警惕。
从技术层面维护网络安全的基本思路
提高技术自主创新能力。当前,我国所用的个人计算机和手机的操作系统几乎都是国外的,核心芯片依赖进口,这是很大的隐患。在网络安全方面,如果自己没有过硬的技术,就很难实现安全可控的管理。斯诺登事件爆出美国大规模入侵华为服务器就是一例。外国的核心技术是买不来的,也是市场换不来的,但我国的市场对培育自主创新的技术和产品具有十分重要的作用。这就要求我们在培育网络核心技术方面也要发挥市场在资源配置中的决定性作用和更好发挥政府的作用。
加快建设网络人才队伍。建设网络强国,维护网络安全,需要建设一支政治强、业务精、作风好的强大人才队伍。要培养造就世界水平的科学家、网络科技人才、卓越工程师、高水平创新团队。
在国际互联网治理中积极发挥作用。建设网络强国,需要我们有与网络大国相适应的国际互联网治理的话语权。当前,尤其要抓住向IPv6(互联网协议第六版)转换的机会极力争取根服务器落户我国,积极宣传我国发展互联网的政策,共同维护国际互联网秩序。
《 人民日报 》( 2014年05月18日 05 版)